計算機網絡攻防技術范文
時間:2023-09-22 17:21:03
導語:如何才能寫好一篇計算機網絡攻防技術,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡安全;攻擊;防御;解決方案
一、網絡安全概述
計算機網絡安全是指通過采用各種技術和管理措施,使網絡系統正常運行,從而確保在一個網絡環境里,網絡信息數據的可用性、完整性和保密性受到保護。
網絡安全問題實際上包含兩方面的內容:一是網絡的系統安全;二是網絡的信息安全,而保護網絡的信息安全是最終目的。要做到計算機網絡信息數據的真正安全,應達到以下五個方面的目標:1)保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性;2)完整性:數據未經授權不能進行改變的特性;3)可用性:可被授權實體訪問并按需求使用的特性;4)可控性:對信息的傳播及內容具有控制能力;5)不可否認性:保證信息行為人不能否認其信息行為。
如何保證個人、企業及國家的機密信息不被黑客和間諜竊取,如何保證計算機網絡不間斷地工作,是國家和企業信息化建設必須考慮的重要問題。作為網絡管理人員,首先要充分了解相關的網絡攻擊技術,才能夠更好地防護自身的信息系統,以便制定較合理的網絡安全解決方案。
二、常見的網絡安全攻擊技術
網絡攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。目前常用的網絡攻擊技術手段有:社會工程學、網絡監聽、暴力攻擊、漏洞攻擊、拒絕服務攻擊等。
(一)社會工程學
社會工程學是一種攻擊行為,攻擊者利用人際關系的互動性發出攻擊:通常攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料時,就會通過電子郵件或者電話對所需要的資料進行騙取,再利用這些資料獲取主機的權限以達到其目的。通俗地講,社會工程學是一種利用人性的弱點,如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
(二)網絡監聽
網絡監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如Sniffer等)就可輕而易舉地截取包括口令和帳號在內的信息資料。
(三)漏洞攻擊
有些安全漏洞是操作系統或應用軟件與生俱來的,如緩沖區溢出攻擊,由于非常多系統在不檢查程式和緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設置一串準備用作攻擊的字符,他甚至能訪問根目錄提升用戶,從而擁有對整個網絡的絕對控制權。
(四)拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。這種攻擊由于網絡協議本身的安全缺陷造成的,如ICMP協議經常被用于發動拒絕服務攻擊,它的具體做法就是向目的服務器發送大量的數據包,幾乎占取該服務器所有的網絡寬帶,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。
三、常見的網絡安全防御技術
面對嚴峻的網絡安全形勢,針對不斷出現的網絡攻擊手段,研究相應的網絡安全防御技術顯得越來越重要。常見的網絡安全防御技術主要包括信息加密、防火墻、入侵檢測技術、漏洞掃描和數據備份等。
(一)信息加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。目前世界上最流行的加密算法有兩大類:一種是常規算法,其特征是收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形;另外一種是公鑰加密算法,其特征是收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墻
防火墻是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。它對兩個網絡之間的通信進行控制,通過強制實施統一的安全策略,限制外界用戶對內部網絡的訪問,管理內部用戶訪問外部網絡,防止對重要信息資源的非法存取和訪問,以達到保護內部網絡系統安全的目的。
(三)入侵檢測技術
入侵檢測是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性的一種網絡安全技術。它通過監視受保護系統的狀態和活動,采用誤用檢測(Misuse Detection)或異常檢測(Anomaly Detection)的方式,發現非授權的或惡意的系統及網絡行為,為防范入侵行為提供有效的手段。按照數據源所處的位置不同,入侵檢測技術(IDS)可以分為兩大類:基于主機的IDS和基于網絡的IDS。
(四)漏洞掃描
漏洞掃描是對系統進行全方位的掃描,檢查當前的系統是否有漏洞,如果有漏洞則需要馬上進行修復,否則系統很容易受到網絡的傷害甚至被黑客借助于系統的漏洞進行遠程控制,所以漏洞掃描對于保護系統安全是必不可少的。
(五)數據備份
數據備份是容災的基礎,是指為防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。隨著技術的不斷發展,數據的海量增加,常用的技術有網絡備份,它通過專業的數據存儲管理軟件結合相應的硬件和存儲設備來實現。
四、網絡安全解決方案
網絡安全是一項系統工程,隨著環境的改變和技術的發展,網絡系統的安全狀況呈動態變化,應綜合運用多種計算機網絡信息系統安全技術,將信息加密技術、防火墻技術、入侵檢測技術、漏洞掃描技術等綜合起來。但一份好的網絡安全解決方案,不僅僅要考慮到技術,還要考慮到策略和管理。應協調三者的關系,技術是關鍵,策略是核心,管理是保證,其最終目的是根據目標網絡系統的具體需求,有針對性地解決其面臨的安全問題。
參考文獻:
篇2
關鍵詞:高職學院;計算機網絡技術專業;課程體系建設
中圖分類號:G642 文獻標識碼:A 文章編號:1009-3044(2013)14-3277-03
1 專業課程體系建設思路
課程體系建設與改革是專業建設的核心,是高等教育教學最重要的基本建設任務之一,是保證人才培養質量的基礎性工作。那么專業課程體系建設的思路就尤為重要,我們在開發本專業課程體系之前首先明確了專業課程體系建設思路:以市場需求為導向,通過大量企業走訪,深入了解企業人才基本素質、專業技能以及數量需求,明確本專業學生的職業崗位群。然后針對職業崗位群進行深入解剖,從中提煉出人才培養質量要求。以適應人才培養質量要求為主要依據進行課程體系構建。通過聘請行業、企業專家組成專家咨詢委員會對課程體系進行反復論證,開發出具有行業特色,符合高職實際的計算機網絡技術專業(網絡工程方向)課程體系。
2 計算機網絡技術專業(網絡工程方向)現狀及前景
隨著信息技術的飛速發展,尤其是全球信息網絡化,當今社會的發展需要大量的從事網絡系統的設計、安裝、維護,網絡軟件開發、測試,網絡管理及網絡安全監測等方面的應用型技術人才。據中國互聯網絡信息中心統計,截至2012年12月底,我國網民規模達5.64億,互聯網普及率為42.1%。網絡已經成為人們生活中不可或缺的獲取信息的工具。
3 職業目標及崗位群分析
3.1明確職業目標
本專業以市場需求為導向,通過大量、長期的企業調研,了解企業人才基本素質、專業技能以及數量需求,最終將培養的畢業生的職業目標定位于面向信息系統的建設與管理的工作過程,該工作過程的流程如圖1所示。
3.2 確定崗位群及核心技能要求
在完整的面向信息系統的建設與管理的工作過程包括了售前、售中和售后三大階段,每個階段對應的崗位群、崗位職責和所要求的核心技能有所不同,但有許多共性,具體如下。
3.2.1工作過程:售前階段
工作崗位:售前工程師;售前技術支持;系統工程師。
崗位職責:跟蹤和挖掘客戶需求,完成方案編寫、投標、產品選型、售前交流、售前測試、客戶引導、產品演示等銷售支持工作,協助項目經理協調管理客戶關系。
核心技能:有較強的口語表達力、溝通協調能力、項目組織能力; 較強的網絡方案規劃、設計和方案撰寫能力;熟悉國內外主流網絡設備廠商產品的最新應用。
3.2.2工作過程:售中階段
工作崗位:系統集成工程師;技術支持工程師;測試工程師。
崗位職責:制定合理的網絡架構和網絡解決方案;與客戶進行良好的技術交流及研討,解決客戶提出的問題;完成系統集成項目中的設計、實施、測試、維護等工作。
核心技能:有較強實際動手能力;熟悉各類網絡主流技術,精通國內外主流網絡產品的配置、優化與測試;能熟練搭建主流服務器,并對數據庫、服務器進行優化。
3.2.3工作過程:售后階段
工作崗位:網絡信息管理員;運維工程師;網絡信息安全工程師。
崗位職責:及時對客戶提供維護管理技術支持,并為客戶提供相關培訓;對網絡監控進行分析為客戶提供故障診斷和排除以及網絡優化設計;分析評估安全漏洞,并制定相應安全管理策略。
核心技能:具有良好的文檔撰寫與培訓能力;熟悉各類網絡監控技術,具備網絡故障的分析、判斷、解決能力;熟悉主流網站開發技術,能對網站進行維護、更新、升級。
3.3人才培養質量要求
本專業的職業目標主要定位于每一崗位群中要求具有熟練專業技能及較高技術應用能力的高、中級職位。所開設的專業課程也是緊緊圍繞著信息系統的建設與管理工作過程中需掌握的核心技能。
5 課程體系的重要支撐
1)建設一支高素質、高技能的教師隊伍
無論是學生綜合素質的提高,還是創新意識的培養,師資隊伍建設和教師素質的提高應先行一步。因此有計劃、有目的讓教師進行相關培訓,為教師創造對外交流的機會;鼓勵教師成立工程團隊,多做工程,多做項目,通過項目鍛煉教師實踐技能,這樣才能造就一支真正適合高職特色的師資隊伍。
2)深化產學研、為專業發展提供可靠依托
產學研結合要充分體現高等職業教育人才的定位,是推動高等職業教育教學改革的基礎。按市場規律推進產學研的多贏局面,充分調動企業、行業參與人才培養、支持學校教育的積極性,使雙方保持長期、穩定、健康的合作關系。
3)突出高職教育中實踐環節的重要性
高職教育與本科教育很大的不同就是要突出學生的職業技能培養。要通過大量的實踐環節強化學生實際動手能力,并在這些實踐環節中高度重視職業道德培養,按行業標準組織項目實施。突出我國高職教育優勢,為提高學生的就業質量提供強有力的支撐。
4)鼓勵學生參加國際認證。
將行業認可度高的國際認證的配套課程引入到專業課程體系,鼓勵學生參加CISCO、Microsoft等國際認證考試,通過大規模組織學生參加國際認證,一方面營造良好的學習氛圍,培養學生的學習興趣;另一方面提高學生的就業競爭力,保障學生的就業質量。
6 結束語
四川工程職業技術學院于2006年被教育部、財政部確定為全國首批(28所)國家示范性高職高專院校。我院的“1221”人才培養模式是中國高職教育近十多年摸索出來的一條適合中國國情的、具有中國特色的高等職業教育發展新模式、新路子。我們在“1221”人才培養模式的指導下,開發了本專業的專業課程體系,相信這篇文章對其他高職院校相關專業具有較強的借鑒作用。
參考文獻:
[1] 李圣良.高職院校計算機網絡技術專業教學體系改革探索[J].職業技術教育, 2006, 26(35): 14-15.
篇3
1.光纜傳輸系統的網絡結構
光纜傳輸系統的網絡結構可分為星形網、樹形網,星——樹結合形網和環形網。根據實際情況,我市的光纜網絡多為星形和樹形結構。星形網絡的結構是每一個光節點所接收的光信號都必須從網絡前端出發,通過光分路器,使用至少一根光纖連接到光節點,星形網具有分光器少,可靠性高,傳輸質量好,維修方便,易于實現雙向傳輸等優點,是我國廣電部門推薦的首選網形;樹形網絡是從前端至光節點之間首先采用一根光纜傳輸信號,然后采用分路器分成若干支路,其中的部分支路到部分節點,另一部分支路經傳輸一段距離后,再經分路器至另一部分節點。樹形網絡的優點是節省光纜,缺點是光功率損耗大。單從經濟方面考慮,采用樹形網絡比星形網絡更為經濟。
2.光纜鏈路損耗的計算
光鏈路是指光纖傳輸網絡,光纖鏈路損耗是指光纖傳輸網絡對光信號強度的衰減,光鏈路損耗包括以下三部分:一是光發射機輸出的光信號經過一定距離的傳輸后光纖對光信號強度產生衰減;二是光纖傳輸網絡中各種活接頭、光纖連接的熔接點對光信號的衰減;三是網絡中部分器件的設置對光信號產生的衰減,如光分路器的分光損耗和附加損耗等,光鏈路的計算公式如下:
L=L+L+L,L為光鏈路總損耗
L為光纖損耗,其衰減值為L,為光纖衰減系數,L為光纖長度。對于單模光纖,在設計中光信號波長為1310nm時,=0.4dB/km,光波長為1550nm時,=0.25dB/km(兩種光信號的損耗系數包括了接續損耗在內)。
L為接續損耗,指光纖熔接點所造成的損耗,一個合格的接續點接續損耗應在0.02-0.04dB之間,設計時通常按0.04dB計算。
L為活接頭損耗,一般在0.4-0.6dB之間,設計時按0.5dB計算,通常光發射機、光放大器的標稱輸出功率是指在輸出法蘭盤上的實際輸出功率,因此,計算損耗時不包括光發射機或光放大器輸出端活接頭的插入損耗。
L為光分路器損耗,它包括附加損耗和分光損耗。一般地,二、三、四光分路器的附加損耗分別為0.2、0.3、0.4dB,分光損耗就是分光比的分貝形式,計算公式為:L分光=10lgn,n為分光比。
3.樹形光纜網的設計計算
圖1為一個干線形網絡的拓撲圖。由于這一網絡很小,可采用1310nm系統,比較經濟的樹形網絡結構實現其功能。
(1)根據設計指標(C/N、C/CSO和C/CTB等)的分配結果,確定A、B、C三個光節點處接收機輸入光功率為0dBm。
(2)活接頭損耗按0.5dB計算,可得A、B、C三點活接頭前光功率為0.5dBm,標示于圖2上。
(3)B點至分路器2光纖長度2km,光纖對1310nm信號損耗為0.4dB/kmⅹ2=0.8dB,分路器2輸往B點的光功率為:活接頭前功率+光纖損耗(包括熔接損耗)=0.5dB+0.8dB=1.3dB。同理,C點至分路器2光纖長度為4km,分光器2輸往C點的光功率為:0.5dB+0.4dB/kmⅹ4km=2.1dB。
1)將分光器2兩個輸口要求的光功率換算為mw
根據P(mw)=10得:
B端:P(mw)=101.3/10=1.349mw
C端:P(mw)=102.1/10=1.622mw
2)確定分光比
B輸出口分光比:P(mw)/〔P(mw)+P(mw)〕=1.349/(1.349+1.622)=45.4%
C輸出口分光比為:1-B=1-45.4%=54.6%
3)確定分光器2的輸入光功率
B、C兩路光功率之和為1.349+1.622= 2.971mw
根據式P(dBm)=10lg
將其化為對數形式得
P(dBm)=10lg2.971=4.729dBm
由于分路器附加損耗的存在,計算輸入光功率時,應在P(dBm)的基礎上增加0.2dB的二分路器的附加損耗值。即P(dBm)+0.2=4.729 +0.2=4.929dBm
(4)計算分光器1的分光比和輸入光功率
1)計算分光器2到分光器1的損耗,確定分光器1對B、C端的輸出光功率值。光纖長度為6km,光信號損耗為0.4dB/km×6km=2.4dB,光分路器1對B、C端輸出光功率為4.929+2.4=7.329dBm,換算成mw表示的功率為P(mw)=107.239/10=5.406mw
2)同樣方法計算出分光器1對A端口輸出光功率為
0dBm+0.5+0.4×1=0.9dBm
換算為mw表示的功率為P(mw)=100.9/10= 1.230mw
3)確定分光比
A路的分光比為P(mw)/〔P(mw)+P(mw)〕=1.230/(1.230+5.406)=18.5%
BC路上分光比為1-18.5%=81.5%
4)確定光分路器1的輸入功率
兩路功率之和為P(mw)+P(mw)=1.230+ 5.406=6.636mw
作為dBm表示P(dBm)=10lg6.636=8.219dbm
考慮到分光器的附加損耗,光分路器1的輸入光功率應為
P(dBm)+0.2=8.219+0.2=8.419dBm
將以上算得數據標注在圖2上
(5)確定0點所需求的光功率
從分光器1輸入端至O點光纖長度為5km,所以損耗為0.4dB/kmⅹ5km=2.0dB
O點所需要的光功率為:分光器1輸入+分光器1至O點的損耗值=8.419+2=10.419dBm
換算成wm:P(mw)=1010.419/10=11.013(mw)
由上計算可知,圖1所示的干線型網絡,只需要在0點輸入11.013mw的1310nm光信號,即可滿足A、B、C三點的設計要求。通常選取12mw的發射機,留下約0.37dB的設計余量。
(6)驗算
為保證鏈路設計的正確性,假定在O點加一個12mw發射機,再從O點逐點算至各光節點,查向各光節點的接收機輸入功率是否達到設計要求,驗算結果應與設計結果相差一個設計余量,否則說明鏈路設計有錯誤。
篇4
關鍵詞:計算機;網絡對抗;網絡體系;方法
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 16-0000-01
在互聯網迅速發展、計算機網絡廣泛應用于社會的各個領域的當今社會,應運而生了網絡戰這個新興概念,與此同時,網絡對抗技術也產生了。當前,世界上有很多軍事強國為了將優勢技術應用于先進的信息網絡戰中,在信息化戰爭中爭取有利位置,都展開了對網絡對抗方法的研究。
一、計算機網絡對抗技術發展的現狀
自從海灣戰爭美國第一次將網絡對抗手段應用于實際戰爭中以來,人們比較常規的戰爭思維模式被打破,世界軍事正在向數字化、信息化的全新方向邁進。許多國家對網絡攻防以及網絡對抗技術已經迅速展開研究。但在目前,雖然有許多軍事強國運用了網絡對抗技術,并且實行了多種攻防手段,但在網絡攻防深層次的利用上,許多軍事強國并沒有較大的優勢。
因此,我們需要進一步去研究,去完善網絡攻防的手段和方法,以此來提升網絡作戰的能力,在未來信息化戰爭中奠定強固的基礎。
二、網絡對抗的一般方法
(一)口令入侵。口令入侵,簡單地來說就是指用一些軟件解開已經得到但被人加密的口令文檔。一般來講,是指在得到主機上某個合法用戶賬號的前提下,將用戶口令進行破譯,然后利用破譯的賬號和口令登陸到主機實施攻擊活動的入侵方式。通常用來獲得用戶賬號的方法有很多,如利用目標主機的Finger功能,當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上。
(二)拒絕服務攻擊。拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務。拒絕服務攻擊的范疇比較廣,只要能夠對目標造成麻煩,使服務器被暫停甚至使主機死機,都屬于拒絕服務攻擊的范圍。進行拒絕服務攻擊比較常用的方式有兩種,一種是通過向另一方的網絡服務器傳送大量無用信息,消耗對方的網絡資源,使對方服務器的緩沖區膨脹,不能再接受新的請求,另外一種是利用IP欺詐,迫使服務器將合法用戶的連接復位,導致合法用戶的連接受到影響。
(三)木馬攻擊。完整的木馬程序一般是由兩個部分組成:一部分是服務器程序,另一部分是控制器程序。它可以直接入侵用戶的計算機并在用戶毫無察覺的狀況下對服務器進行破壞。它通常以程序安裝或游戲程序作為偽裝,讓用戶在毫無知覺下將其下載,在用戶使用下載程序時,不知不覺潛入計算機程序中,在計算機正常連接到網絡時,對用戶進行攻擊,將用戶的IP及用戶和主機的相關信息傳遞給攻擊者。植入木馬的方式有很多種,比較常用的方式有:通過發送電子郵件,將木馬程序以電子郵件作為載體發送給用戶;通過程序升級,讓用戶在下載更新程序時將木馬程序一并下載;通過補丁安裝,在用戶修復系統漏洞時,將木馬程序安裝等。
(四)系統漏洞攻擊。所謂系統漏洞攻擊是指應用軟件或操作系統軟件在邏輯設計上的缺陷或錯誤,被攻擊者利用,獲得用戶網絡的訪問權,通過網絡植入病毒來控制整個電腦,從中竊取重要的資源信息,甚至破換用戶系統的攻擊方式。
系統漏洞攻擊的方式主要有:利用計算機病毒攻擊,直接利用軟件的漏洞來編寫程序植入計算機網絡中;利用程序開發測試階段的漏洞,進入系統中發動攻擊等方式。
三、計算機網絡的防護技術
要在未來的網絡對抗戰中占據有利地位,不僅要掌握網絡對抗的方法,也要建立網絡安全防護體系,來預防攻擊者對網絡的入侵和破壞。網絡防護技術是一種維護網絡安全的技術,它致力于解決諸如如何有效進行介入控制以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術及其它的安全服務和安全機制策略。其主要的防護措施:訪問控制防護,通過對用戶訪問網絡資源的權限進行嚴格的控制和認證,如對用戶進行身份認證,控制網絡設備的權限等;防火墻防護,作為十多年來網絡防御的基石,對于網絡安全的穩固起到了至關重要的作用,它通過對進入網絡數據包的監測來管理進出網絡的訪問行為,對有攻擊嫌疑的信息和內容進行警告等。網絡防護的其他措施還有諸如信息過濾、數據鏡像等方式。
四、對未來計算機網絡對抗方法發展趨勢的展望
目前,對于網絡信息安全,大部分網絡用戶能夠采取基本的防御措施,網
絡安全意識也得到了增強,但要隨時提高警惕,未來還有許多潛在的網絡攻擊會讓我們措手不及。
(一)隱秘攻擊。現在許多網絡攻擊者把攻擊后成功逃脫的IDS的檢測擺在第一位,他們因此開發了許多新工具,如多變代碼、隱蔽通道、跳躍式攻擊等使其攻擊后不會留下任何被發現的痕跡。
(二)利用路由器或DNS進行攻擊。攻擊者一般會非常徹底的對主流路由器和DNS服務器的程序代碼進行檢查,找到能使目標程序或設備癱瘓或崩潰的漏洞進行利用。如果被攻擊者發現且利用,然后進行大范圍攻擊的話,大部分網絡會迅速癱瘓。
(三)超級蠕蟲攻擊。超級蠕蟲病毒最大的特點為:打破惡意程序只攻擊用戶電腦的“慣例”,將攻擊目標偏向于用戶的生活與生存環境上來。一旦用戶的電腦不幸遭受病毒的入侵,會嚴重影響到被攻擊者的日常生活,而且還會引發“多米諾骨牌效應”,導致與受害用戶聯網的人群遭受同樣攻擊。
無論是就手段的高明還是破壞的強烈性而言,超級蠕蟲攻擊都是未來研究應該注意的重點。
五、結束語
計算機網絡戰是當前信息發展的一個趨勢,為了在以后的網絡戰中獲得有利地位,我們必須強化整個民族的網絡安全觀念,大力培養出更多的網絡戰人才,在開發新的網絡對抗方式的同時建立更加安全的網絡結構體系,并建立有效的管理體制,確保計算機網絡的安全。
參考文獻:
[1]楊玉新.TCP/IP協議棧與網絡攻擊的研究[J].德宏師范高等專科學校學報,2012(01).
[2]曹香港,韓臻.虛擬化技術在計算機網絡對抗中的應用研究[J].微計算機信息,2009(36).
[3]劉安利,趙懷勛.網絡對抗中的DDOS攻防技術分析[J].網絡安全技術與應用,2009(07).
篇5
關鍵詞: 計算機網絡;防御策略;描述的具體語言;應用分析
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)04-0737-03
計算機網絡的防御策略有多種描述語言,其中CNDPSL語言具有比較高的使用靈活性能,可擴展領域也非常廣,同時還具有很好的適應性。總體來看,它是一種聲明式的計算機語言,對網絡控制的行為可以起到很好的控制與監督作用。另外在計算機網絡技術仿真平臺的實驗中,利用這種防御性策略的描述語言可以實現技術規則轉化為防御效能的自動化,更加提高了運用的效率。
1 計算機網絡防御策略描述語言的概述
計算機網絡攻防演練的組成結構非常復雜涉及的環節比較多,其中網絡防御是非常重要的內容,同時也是計算機網絡信息對抗的關鍵構成部分,在實際的應用中起著舉足輕重的影響作用。設置計算機網絡防御策略通常的目的是要保護計算機工作系統的穩定性與安全性。具體的策略一般是由一些具有特定防御功能的規則和程序構成的。依據PPDR 的虛擬模型,制定的防御策略主要包括三種策略,第一種是保護策略,第二種是檢測策略,第三種是響應策略。在計算機系統網絡常規的攻防演練中,一般有兩種模式,真實的演練和模擬的演練,這兩種模式的應用效果有所不同,在具體的應用中應該具體問題具體分析。模擬仿真方案在實際的使用過程中具有很多的優勢,因而使用的范圍也比較廣闊,開發出的工具也非常多樣,常見的有VNS,RINSE等,在這些工具的具體應用中,一般都是比較側重于防火墻的仿真模擬以及IDS的仿真模擬等,使用的方法也會根據實際的需求有所調整。計算機網絡防御策略的實際演練過程,需要使用很多的安全措施來抵御外界對網絡系統的攻擊。
在選用具體的防御措施前,防御的策略起到一定的指導效用。很多計算機防御策略的描述語言都是建立在人類抽象思維策略基礎之上的,因而要在使用時產生技術級的措施,就要通過人的翻譯。這樣的過程在計算機網絡防御策略的應用中進行的次數非常多,利用的是高級思維能力,但是也有一定的局限性。這是因為高層思維在使用低層工具進行代換的時候,對翻譯的正確性難以在很短的時間內進行有效的評估,運用不當也會導致翻譯差異性的出現,或者是思維語義上的誤解和損失,同時這種損失究竟到什么程度是不確定的。可見計算機的自然語言存在著二義性,那么計算機的實際配置就會呈現出結構復雜、效率低下、程序運行出錯頻率高的特征,嚴重影響著計算機網絡的安全性,需要采用策略性強的形式化描述語言,提高系統接收數據信息的能力,將抽象的策略轉化為具有高效性和準確性的語言來使用,同時還要體現出系統的伸縮性與靈活性,這樣才能達到預期的防御目的。
2 計算機網絡防御策略的描述語言的設計要求
常見的計算機防御策略語言具有其獨特的使用特點,不僅有優勢,也有不足之處,在對優點和缺點進行描述的時候,要從全面立體的角度出發去考慮,兼顧描述的具體內容和抽象層次應用兩個方面。PCIM把具體的策略描述成條件動作的特有方式,計算機系統的防御安全領域中,在PCIM基礎上進一步拓展出的語言包括CPIM,SPSL,NSPIM等,每一種語言都有其特殊性,但在實際應用上又有著同一性。具體來看,SPSL現階段支持的防御策略主要包括系統過濾、IKE交換等;NSPIM的具體描述內容包括計算機系統的訪問控制層,同時還要對防御策略進行必要的檢測和管理,以提高其工作效率。從層次應用方面來講,PCIM和ACL列表的功能有著很大的相似之處,所以在實際的應用中,欠缺對防御策略的高效管理性,在自動化方面也有待于進一步改善。TPL在使用的過程中會經過XML的檢驗來表示認證策略,然而XML的編程語言非常復雜,實際使用時,不具備高效的可讀性,在其抽象層次的應用中也與防御策略的描述語言存在著很多的差異。上述的這些語言的綜合特點就是直接對網絡層的實體進行研究,描述策略的拓展性有限,所以在抽象的層次上也會有一定的局限性,具體描述的內容也需要進一步加強。基于上述的不足之處,CNDPSL的設計要點就要不斷克服這些不足之處,保證運行效率的顯著提高。具體來看,這種防御策略的描述語言要起著對抽象網絡防御控制行為的操控能力,在語法的設置上必須清晰了然,具有很強的直觀性才能保證操作的具體化,利用這樣的語言借助計算機引擎的作用,可以將防御策略有效地轉化為實際可行的防御規則,提高操作性。同時要求這種語言可以訪問控制領域相關策略的同時,也可以對其他的保護策略進行準確地描述,在此基礎上還能夠對檢測的配置以及規則的使用情況進行相應的監督,從而起到一定的控制效應。
3 計算機網絡防御策略模型的建構
計算機網絡防御策略模型最為常見的類型是在RBAC基礎上建立起來的模型以及在計算機組織結構訪問方式的基礎上建立起來的模型。前者在運行的過程中經常將描述的主體定位為具體的角色,也沒有對權限進行抽象。后者主要是把描述主體與客體以及描述的動作分別進行科學準確的抽象。以上兩種模型的研究也存在很多的不足之處,為此次建立計算機網絡的防御策略描述語言的模型要克服這些缺陷,不斷拓寬訪問的控制領域,將每一語言概念之間的關系進行仔細地梳理,把握好每一環節的特點,將角色的分配方式落實到位,降低系統出現錯誤的幾率,提高運行的效率。參照在計算機組織結構訪問方式的基礎上建立起來的模型,進行科學合理地改進與拓展,具體來看,CNDPM的模型構造圖如下所示:
圖1(實線箭頭表示relation,虛線箭頭表示include)
在模型的建構中涉及到的策略與規則主要包括以下四個方面:第一點是系統要具備比較豐富的防御性語言表達能力,同時要面向CNDPM的各種應用需求,對每一種保護、檢測以及系統的響應策略。第二點是要保證程序的簡潔性與靈活性,不僅是要求語法形式的簡單性,還要在具體的內容上也體現出簡潔與直觀性。第三點是要保證一定的無關性,可以讓系統自動解析成可以執行部件某種規定的防御性的規則。第四點是要保證防御性的語言具有可擴展性,這樣就可以逐漸提高其防御的效率。
以下給出CNDPSL的EBNF的具體范式:
: : =
: : =| (|)
塊>||
: : = ‘{’{} ‘}’
: : =|||
||
1)組織
組織是CNDPM模型的核心概念,通過搜索網絡配置想定目錄服務器的同名域建立,以下是組織的EBNF范式:
: : =org[ ]
: : =|. //組織名為點分字符串
: : = sub_org{} //組織的包含關系
2)策略
由于策略可以封裝在組織中,策略表示成五元組的形式,有配置和刪除兩種操作。
: : =(policy| delete-policy) (| default)
其中,視圖可以通過角色的轉換得到,語法如下:
: : =|
角色、視圖、活動都包括聲明、層次、定義和分配四種語句,其中聲明需指出相應的類型,而其余三種無須給出,但名字必須是聲明過的。
4 計算機網絡防御策略語言的具體特征和實施機制
計算機網絡防御描述語言CNDPSL具有很高的應用性能,它是在CNDPM的模型上建立起來的,通過計算機網絡防御策略形成的語言描述系統,經常使用的范式是EBNF,經過計算機的仿真驗證,明確表示該種語言的使用功能很有效,完全可以為計算機的攻防演練提供有效的支持。在CNDPSL的描述內容中,主要的描述內容包括計算機防御的組織架構、策略定位、功能防御角色、視圖效果、具體活動、上下文的轉換和連接、防御措施的具體說明、計算機防御語言的聲明以及定位、各個組成部位的功能分配以及相關的繼承關系,這些內容之間是相互聯系的,對于具體的設計要求的落實,一方面要先確立好計算機網絡防御的描述語言的設計目標,這樣才好做好下一步的部署工作。
通常情況下,這種防御策略的描述語言要具有比較豐富的表達能力,在具體的設計上要與CDNPM模型保持一致性,這樣才能夠很好地將保護、檢測、響應策略有機統一在一起。語言的簡潔靈活性、語法形式的簡單性和形象直觀性可以為防御策略的運作提供更好的運行環境。同時要實現無關性的建設機制,使得系統可以自動化地形成具體的執行環節,對一些防御規則的運用有著獨到的地方,不僅可以提高運行的質量,還可以提高運行的速度,以便使計算機的防御系統更具有安全性和可靠性。計算機防御策略的語言可拓展性對系統的運作效率也有著很大的影響。
在CNDPSL語言格式的實施策略中,通常都要將比較的抽象的模型轉化為具體的防御規則。這就需要經過特定的推理,在模型實踐的過程中,通常會有兩種推理形式:第一種推理認為,每一組織中的任何一種角色或者是任何的主體具有相關性,主體同時可以作為角色,那么就用D1表示,分配的機制為:
Employ(or g,s)ΛDef ine(r,ch) Λ
Own(s,ch)As(s,r)
這樣的分配方式可以運用到活動和視圖的分配過程中來。另一種推理方式將組織雇傭為主體作為角色,用客體來作為視圖的內容,在活動的措施中對相關的防御策略進行評估。
例如在計算機信息安全系統的攻防模擬演練中,很多的CNDPSL格式的策略文件在具體的使用過程中,都要先經過計算機引擎的處理,與防御策略的信息庫進行交換處理,轉化為與之相關的各種有效的防御命令,然后再經過RTI的傳送,將命令進一步轉化為防御的具體動作。對一些策略信息庫的傳送,通常要處理的是實體與實體之間的關系,先要對各部分的工作模塊進行劃分,對防御策略描述語言的語法、語義、詞法進行分析與判讀,將這些信息存入固定的防御信息庫中,然后依據網絡的信息將各種策略描述準確地提煉出來,在這一過程中將完成轉化的模塊依據相應的推導規則,將防御的策略映射為防御的具體規則,然后根據分發的模塊將防御的策略信息進行相應的推導,最終將分析所得的信息發送給防御節點,這樣就形成了CNDDL的防御命令。
5 結束語
綜上所述,計算機網絡防御策略的描述語言在實際應用中的作用是非常強大的,在進行模型建立和具體實施的時候,要根據具體的實踐需要,從以往的描述語言中和模型建構中尋找經驗,克服其不足之處,建立其具有使用性語言機制,CNDPSL防御策略的具有非常強的操作性,并且在實際的應用中效能比較高,拓展的領域比較寬廣,因而應該得到廣泛的推廣。
參考文獻:
[1] 魏玉娣,夏春和.一種計算機網絡防御策略描述語言[J].計算機研究與應用,2008(8).
[2] 吳秀敏,王曉蘭.EDA技術在計算機硬件設計中的應用與研究[J].計算機與數字工程,2010(10).
[3] 夏春和,李肖堅.計算機網絡防御策略描述語言研究[J].計算機研究與發展,2009(1).
[4] 朱小龍.EDA實踐教學與學生工程實踐素質的培養[J].教育與職業,2010(33).
[5] 楊蓮紅.EDA技術在模擬電子技術教學中的應用[J].高師理科學刊,2010(1).
[6] 田文英.計算機網絡防御策略描述語言研究[J].科技傳播,2012(7).
[7] 曹立杰,李松松.數字電子技術與EDA技術相結合的探討[J].現代電子技術,2009(20).
[8] 崔國瑋.基于EDA技術的數電課程設計新模式的探索與實踐[J].實驗技術與管理,2008(1).
[9] 朱怡健.簡單高性能微處理器的設計[J].電氣電子教學學報,2004(2).
篇6
關鍵詞:網絡;病毒;防治
一、計算機病毒的危害
隨著計算機及其計算機網絡的不斷普及,由使用網絡而帶來的病毒問題越來越頻繁,病毒的危害已經讓每一位計算機用戶感到頭疼,給計算機系統帶來了巨大的破壞和潛在的威脅。為了確保信息的安全與暢通,因此,研究計算機網絡病毒的防范措施已迫在眉睫。
二、計算機病毒特點
歸納起來,計算機病毒有以下特點:
1.攻擊隱蔽性強
病毒可以無聲無息地感染計算機系統而不被察覺,待發現時,往往已造成嚴重后果。
2.繁殖能力強
電腦一旦染毒,可以很快“發病”。目前的三維病毒還會產生很多變種。
3.傳染途徑廣
可通過軟盤、有線和無線網絡、硬件設備等多渠道自動侵入計算機中,并不斷蔓延。
4.潛伏期長
病毒可以長期潛伏在計算機系統而不發作,待滿足一定條件后,就激發破壞。
5.破壞力大
計算機病毒一旦發作,輕則干擾系統的正常運行,重則破壞磁盤數據、刪除文件,導致整個計算機系統的癱瘓。
6.針對性強
計算機病毒的效能可以準確地加以設計,滿足不同環境和時機的要求。
三、我國當前計算機病毒防治策略
針對目前日益增多的計算機病毒和各類黑客木馬程序的攻擊,我們根據所掌握的這些病毒的特點和未來的發展趨勢,我們制定了近期的病毒防治策略,供我國計算機用戶參考。
1.加強對重點單位的監督管理
2.加快我國計算機病毒預警監測體系建設
我們應該加快我國計算機病毒監測預警體系的建設步伐,有效提高我國對計算機病毒的發現和處置能力。同時,國家計算機病毒應急處理中心組織國內外反病毒企業建立我國病毒監測網絡,及時發現各類新病毒,通報病毒疫情。并通過與中央電視、新華社等新聞媒體及時向社會病毒預報信息,提高我們對計算機病毒等惡意軟件的防范能力,減少病毒造成的危害。
3.跟蹤病毒發展趨勢,加強對病毒防治新技術、新產品的研發
4.加強對計算機病毒防治產品質量的動態監督管理工作
5.加強對各類網上交易系統的安全保障措施
6.積極推動反病毒服務業的發展
7.加強技術防范措施
(1)正確安裝使用安全軟件。
(2)修改系統配置,增強系統自身安全性。
(3)修補系統漏洞,加強預警。
(4)定期安全檢查。
篇7
計算機網絡安全是計算機網絡專業的核心骨干課程,現有課程體系及教學實施過程中存在的問題是理論教學內容偏多。網絡安全是涉及計算機科學技術、網絡技術、信息技術、數字密碼技術等多學科的綜合性學科。從事該課程的教師也因為實驗室攻防條件限制、實訓環境設置簡單等問題,不能很好引導學生理解該課程,為該課程的教學實施打了折扣。
該課程的考核方式與評價體系相同于傳統課程,偏重于理論考核,大多是閉卷筆試。難以做綜合能力與創新能力的評價,學生為了應付考試,把主要精力放在了死記硬背課本和課后習題上。這樣的考試不利于學生對知識的全面掌握,不能全面反映學生對課程的實際掌握情況,更難于衡量學生對知識的運用能力和實際動手能力,還容易出現抄襲、作弊等違紀現象,由于實驗環境的不穩定性,在實踐考核環境中也存在操作困難的情況,這些情況不利于教學水平的提高,更不能充分發揮考試的導向和人才培養的指導作用。
2、內容改革,教材先行
由于網絡安全技術的快速發展,要求《計算機網絡安全》教程必須緊跟科學技術前沿,因此教學內容改革勢在必行,必須脫離傳統的文字教材范疇,在文字教材的基礎上增加多媒體教學資源和網絡課程作業。
(1)文字教材。文字教材是教學的基本依據,對學生知識的學習有先導的作用。一本好的教材如同一位好的導師,應當以學生的認知規律為主線,以項目任務單元構建學習章節,階段性的安排學習內容,打破傳統教學教材,讓學生可以深入淺出的了解網絡安全的知識,形成良好的學習習慣。
(2)網絡課程作業。適量的作業練習是必須的,可以拓展學生的學習思路,更加牢固的掌握所學知識。利用網絡多媒體技術制作網絡課程作業,學生采用網上答題等方式,結合郵件方式,可以快速實現作業的批改。
因此,教學資源、教學內容的改革不再局限于文字教材而是涉及多媒體教材、網絡課程在內的多種教學內容改革方式。
3、方法創新,項目驅動
網絡安全課程是一門實踐性很強的課程,只有通過應用才能掌握知識。在具體學習過程中,引入項目驅動的教學方法,根據課程的性質、特點、學習對象、教學目標、教學大綱、教學內容、多媒體輔助方式等方法進行多種方法的教學。
(1)“項目驅動”教學法。“項目驅動”教學方法的核心是教師在精心為教學設計的項目下,通過自主學習、協作學習、討論學習、探究學習等方式來完成任務在探究解決問題的途徑中,學生既學到了知識,又培養了能力,更重要的是提高了學生的探索創新精神、動手實踐能力和與人合作能力。在完成項目的過程中,學生始終處于主動的主題地位,教師是學生學習的組織者、服務者和導航者。
(2)多教學方法交叉使用。使學生由接受者轉變為主動參與者,在發揮教師主導作用的同時,充分發揮學生的主體作用。引導學生去思考、去探索、去發現,鼓勵學生大膽提出問題。使學生在實驗室主動進行實驗學習、在實驗室以外也能自主學習。本課程必須在多媒體網絡教室上課,把集中輔導和上機實驗合二為一。
(3)“項目協作”教學法。該教學方法依據學生的能力、知識儲備等相關因素,將學生以小組的形式進行教學。小組成員通過相互合作,進行網絡的模擬攻擊,而另外的成員則進行防御。通過小組之間的互動、分析討論,從而引申不同的思考方向,同時結合校企項目,教學中安排學生社會調查內容,采取組織或者自由形式參觀一些較大規模的網絡環境和安全項目,進而構建出個人對于學習內容的系統知識。
4、模式探討,講演教學
對于學生來說,學習的目的在于掌握一定的技能。網絡安全課程內容多,各個內容之間沒有聯系少,學生學習時往往感覺學習困難,因此,在教學時可以改變傳統的逐章教學的方法,設計網絡安全的框架結構,在教學中逐步將這個框架清晰化,具體化。構建一種以學生為主體、以教師為主導、以網絡安全框架內容為主線的基于實際項目的教學模式。該模式旨在探索出適合高職學生學習《計算機網絡安全》的“講演”教學模式,以便更好地培養學生的創新意識、創新精神、創新能力和計算機網絡安全防護應用技能解決具體實踐問題的能力。
整個教學模式中教師總是起到導學的作用,教師的作用就是盡量激發學生對本課程的學習興趣,提出問題、并解決問題。該課程教學模式的學生引導過程如下:
(1)激發學生的興趣。興趣是最好的老師,學生在學習活動中,對自己感興趣的現象,總是主動、積極地去探究。根據教材內容的引導案例,結合校企項目,引導學生探討網絡安全問題,讓學生有參與的機會,談談他們對網絡安全知識的認識,然后和他們交流,并介紹該部分教學內容的安排,這樣既拉近了師生距離,同時也便于掌握學生情況,給學生的學習增加了興趣和動力。
(2)創設網絡安全背景。網絡安全背景創設必須有利于學習者對所學內容的意義上構建的。網絡安全課程雖然都是圍繞網絡在進行介紹,但是課程內容具有很大獨立性,不像很多課程的搭積木特點。這種課程一方面具有個別內容學習耽誤不影響后續學習的優點,也帶來學生覺得知識太散,不容易歸納掌握的缺點。因此作為教師結合網絡安全知識總結教材體系是重要工作,整個教材的內容實際上可以按網絡安全框架進行展開。教學中直接給學生一個框架,因此需要在教學中設計一些網絡環境的背景,涉及有針對性的安全問題,變成學生腦海的直觀印象。
(3)提出問題。在教學過程中除了要創設背景、激發學生的學習興趣外,最重要的是要培養學生的分析問題和解決問題的能力,利用各種方法選擇出與當前學習主題密切相關的真實性事件作為學習的中心內容,讓他們課后搜集資料、尋找答案,促進他們的學習興趣。
(4)項目協作。為使學生的知識體系更為合理,教師應盡可能組織學生協作學習,并對學習過程加以引導,使之向有利于知識建構的方向發展。合理安排網絡攻防實驗課,使學生自發分組進行對抗。這些項目主要有:網絡安全研究性調查、小型企業網絡機房安全規劃、紅藍網絡攻防對抗、網絡實時安全管理模擬等,以加深學生對所學內容的理解。
篇8
關鍵詞: VMware; Wireshark; 場景仿真; 網絡安全教學
中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2016)10-57-04
Application of scene simulation and analysis in network security teaching
Yu Hai
(Department of Computer Science and Technology, Shaoxing College of Arts and Sciences, Shaoxing, Zhejiang 312000, China)
Abstract: The computer network security teaching is faced with many difficulties, such as limited class hour, heavy teaching task; the antagonism of network security practice is extremely strong, most experiments are destructive; virtual simulation of network security is mainly for network protocol and network equipment, and the scene simulation and analysis of network attack and defense process have a great limitation. In this paper, the computer network security scene is simulated by VMware and the scene simulation is further analyzed by Wireshark, so as to improve the teaching efficiency of the computer network security. An example of network attack is given to explain the application of scene simulation and analysis in network security teaching.
Key words: VMware; Wireshark; scene simulation; network security teaching
0 引言
由于計算機網絡安全課程內容更新快、課程知識涉及面廣、理論與實踐結合緊密,許多文獻提出了教學改革方法,在教學理念上提出了基于CDIOD的教學法[1];在教學方法上提出了項目驅動或任務驅動教學法、案例教學法、類比教學法、“角色互換”教學法[2]。
盡管如此,計算機網絡安全課程教學仍然需要面對一些現實困難。①課時少,教學任務重。一般每學期只安排32節理論課時加上16或32節實驗課時。②網絡安全實踐的對抗性極強,多數實驗破壞性大。③網絡安全的攻防實驗環境要求復雜、實驗步驟較多,通過虛擬機仿真的網絡安全實驗過程,要在后續教學中再現就比較復雜,而且虛擬軟件(例如OPENT、NS-2)仿真主要針對網絡協議、通信情況,也有虛擬軟件(例如Packet Tracer5.3)主要通過模擬交換機、路由器、無線接入點和網卡等網絡設備來模擬網絡安全場景,但是對于網絡攻擊和防御過程的場景仿真及分析存在很大的局限性。
為了提高計算機網絡安全課程教學的效率,利用虛擬機軟件VMware+Wireshark(網絡分析工具)可以實現計算機網絡安全的攻擊和防御過程的場景仿真以及進一步的分析。
1 場景仿真虛擬機VMware及網絡分析軟件Wireshark簡介
1.1 虛擬機技術
虛擬機技術利用軟件在單臺物理機上模擬出多臺具有完整硬件系統功能的、相互獨立的邏輯計算機,其核心是虛擬機監控程序(Virtual Machine Monitor,VMM)為上層邏輯計算機提供一套獨立于實際硬件的虛擬硬件,并仲裁它們對底層硬件的訪問。虛擬機技術常采用兩種虛擬化架構:寄居架構和“裸金屬”架構,以滿足不同用戶的需求。在寄居架構中,VMM 運行在宿主機操作系統之上,可將其視為宿主機操作系統的一個應用,常應用于多操作系統環境下的學習及測試,典型的產品有VMware Server及Workstation、Microsoft的Virtual PC等[3]。
1.2 虛擬機VMware的網絡配置
本文選用VMware虛擬機中的多臺邏輯計算機仿真網絡安全的攻擊計算機和防御計算機,并通過VMware提供的網絡連接仿真攻擊過程和防御過程。VMware主要提供了Bridge、Host On1y以及NAT三種網絡連接模式[3]:Bridge將虛擬機連接到宿主機所在的網絡上,可與其他計算機相互訪問;Host Only將虛擬機與宿主機所在的網絡隔離開,僅位于同一宿主機的虛擬機可相互通信;NAT使虛擬機可借助NAT功能來通過宿主機訪問外部網絡。根據實際需要選擇合適的網絡連接模式。
1.3 網絡分析工具Wireshark
Wireshark是網絡數據包分析軟件,Wireshark[4-6]能夠在網卡接口處捕捉數據包、并實時顯示包的詳細協議信息;能夠打開/保存捕捉的包、導入/導出其他捕捉程序支持的包數據格式。
Wireshark工作界面被分成三部分[5]:上部分顯示捕獲的數據包列表,用來顯示截獲的每個數據包的總結性信息;中間部分為協議信息,用來顯示選定的數據包中的協議信息;下部分是以十六進制形式表示的數據包內容,用來顯示數據在物理層上傳輸時的最終形式。
在捕捉到的包中可以有選擇性的顯示不同條件的數據包;還可以顯示多種統計分析結果(比如TCP、UDP流、各個協議層統計信息等)。
利用VMware虛擬機中的多臺計算機仿真網絡安全的攻擊和防御過程,同時利用Wireshark捕獲這些攻擊和防御過程的數據包,并以.pacp格式導出到文件中。網絡分析工具Wireshark可以根據不同需要對這些數據包進行分析并得到相應的分析結果。
2 場景仿真及分析在計算機網絡安全課程教學中的應用
下面以客戶端上傳文件到FTP服務器時,FTP服務器受到攻擊的場景為例,說明計算機網絡安全課程教學中的場景仿真及其分析過程。具體步驟如下。
在VMware中分別啟動服務器操作系統Windows Server 2003計算機A和客戶端Windows XP計算機,將計算機A配置成FTP服務器,IP地址為169.1.1.1。將計算機A設定為被攻擊對象(靶機),計算機B設定為攻擊機。
配置計算機B的IP地址為169.1.1.3,通過FTP協議可以正常上傳文件到FTP服務器A,如圖1所示。
考慮到課程的教學效果,將網絡分析軟件Wireshark和攻擊軟件都安裝在客戶端計算機B上。先啟動計算機B上的Wireshark軟件,設置Wireshark捕獲服務器A的數據包,捕獲條件為“host 169.1.1.1”,如圖2所示,并使Wireshark開始處于監聽狀態。
⑷ 在計算機B上安裝攻擊軟件,選擇攻擊目標為計算機A:169.1.1.1,選擇攻擊的強度,當計算機B再次上傳文件時,開始對服務器A實施攻擊,如圖3所示。
計算機B上的Wireshark軟件同時捕獲了上傳文件的過程數據包和攻擊FTP服務器A的過程數據包,如圖4所示。
在教學中可以根據需要對捕獲的數據包進行多種分析,這里選取其中的“FTP-DATA”數據流對FTP文件數據傳輸過程進行分析。點擊一個“FTP-DATA”數據包,依次選擇菜單項“statistics”“TCP stream Graph”“Time-Sequence Graph(Stevens)”,生成單位時間傳輸數據字節數的圖形。通過比對攻擊前后所捕獲的數據包文件所生成的每秒傳輸數據字節數的兩個圖形,可以發現:使用FTP協議上傳同樣大小的文件所花費的時間、上傳文件的連續性、上傳文件過程的平滑度都出現較大差別,分別如圖5(a)、圖5(b)所示。
3 結束語
本文通過實例說明了網絡安全攻擊和防御過程的場景仿真及分析方法,該方法便于教師充分利用教學時間和教學資源開展計算機網絡安全課程教學活動,同時能夠幫助學生盡快掌握網絡安全的知識,提升學生對于網絡安全的分析能力,從而提高計算機網絡安全課程教學效率,增強教學效果。
(a) 正常FTP文件上傳過程
(b) 受到攻擊時FTP文件上傳過程
圖5 數據包文件生成的每秒傳輸數據字節數比對
參考文獻(References):
[1] 齊鳴鳴,陳建軍.基于CDIO的網絡安全課程協作性教學研究[J].
計算機時代,2015:87-89
[2] 馬莉,黃營,霍穎瑜.計算機網絡安全課程的教學模式探究與
實踐[J].教育界:高等教育研究(下),2015:187-188
[3] 何凱,劉偉.基于虛擬機的網絡管理與維護實驗教學探索[J].
實驗技術與管理,2016:201-204
[4] 羅青林,徐克付,臧文羽,劉金剛.Wireshark環境下的網絡協
議解析與驗證方法[J].計算機工程與設計,2011:770-773
[5] 肖媛娥,康永平,賀衛東,譚云蘭.網絡監聽技術在計算機網絡
實驗中的實現.煤炭技術,2011:195-196
篇9
“計算機網絡安全技術”課程作為高職院校計算機網絡技術專業的一門專業課,其總體目標是培養出“德才兼備、攻防兼備”的網絡安全工程師,使其能夠在各級行政、企事業單位、網絡公司、信息中心、互聯網接入單位中從事信息安全服務、運維、管理工作。新形勢下,網絡安全已經被提及到個人層面,不僅企事業單位信息系統受到安全威脅,個人信息也成為眾黑客們覬覦的對象。作為高等職業院校,講授必要的計算機網絡安全技術,既能夠保護自身信息不被竊取,又能提高學生的就業競爭力,是開展“計算機網絡安全技術”課程的初衷。[1][2][3]因此,為了達到更好的教學效果,針對該課程的教學設計不僅要結合該課程的具體內容,而且還要結合新形勢下的網絡安全態勢進行研究。
1 教學設計
新形勢下的“計算機網絡安全技術”課程在進行教學設計時,更多地結合高職院校的培養目標,在教學內容、教學方法、教學手段上更多地考慮高職院校學生的接受能力及學生特點,做到結合安全技術前沿知識因材施教。
1.1 教學內容
在設計教學內容時,圍繞著四部分知識目標開展設計:
(1)掌握常見的網絡攻擊技術。包含SQL注入攻擊、網頁掛馬技術、密碼破解技術、緩沖區溢出攻擊等。
(2)精通網絡安全防御技術。包含網絡協議分析、端口與服務漏洞掃描、防火墻配置技術、入侵和攻擊分析追蹤技術、病毒木馬防范等。
(3)掌握基本的服務器系統安全配置技術。包含系統安全策略配置、用戶權限配置、系統防火墻配置等。
(4)掌握流行的數據加密方法。包含對稱加密、非對稱加密、數字證書的配置使用、加密軟件的使用等。
以某模具有限公司內網的安全防御作為主項目,遵循“一個主項目,八個模塊,工作典型化,任務興趣化”的思路,劃分針對企業內網的攻擊分析、常見的網絡攻擊技術、通過嗅探分析攻擊來源、主機系統的安全防護、對信息進行加密處理、對網絡訪問行為進行控制、對入侵進行檢測、數據備份和恢復8個模塊,模塊間循序漸近,激發學生的學習興趣。最后根據任務的完成情況,由學生互評與教師參評相結合來進行項目的考核。具體如下圖所示。
在教學內容的選擇上舍棄原理類知識,選擇操作類知識[4],重點鍛煉學生分析解決問題的能力、團隊成員間協作能力、表達能力、使用工具進行攻擊及分析攻擊的能力等,將臨危不亂、吃苦耐勞、作風優良、膽大心細、團隊協作的綜合素質的培養貫穿于能力培養的始終。
在教學內容的程序化上以網絡安全工程師的工作過程安排教學內容:[5]從故障現象到故障處理,最后提出安全解決方案進行系統加固,各模塊內容按照興趣點進行安排:從故障入手,到如何進行攻擊,再到如何防御攻擊及緊急恢復。
1.2 教學方法
在教學方法的設計上,采用了包括案例教學[6]、角色扮演、張貼板、頭腦風暴、分組討論等方法在內的多種教學方法,根據每一個模塊的特點,合理應用教學方法。
同時,由于計算機網絡安全的特點,使得課堂實踐過程往往無法及時達到應有的效果,為了彌補這一缺陷,學院響應大學號召,開放了《融合式網絡及安全應用》開放實驗室。有了良好的實驗環境,學生的動手能力及創新能力得到了極大的訓練,不僅鞏固了課上所學習到的知識及技能,而且開拓了學生的視野,為學生的創新實踐打下了堅實的基礎。
1.3 教學手段
在教師進行知識講解的過程中,應用多種現代教育技術展開教學:制作精美的PPT課件、利用電子教室實施廣播教學,借助于電子教室軟件的屏幕廣播及屏幕錄像功能,學生可以看到教師的實時演示,并可以將教師對于關鍵步驟的演示錄制下來,反復觀看練習。
計算機網絡安全技術的學習需要用到多種硬件及多臺靶機,學校沒有充足的資金為每位同學配置一套實訓環境。為了解決這個問題,充分利用各種虛擬化軟件來虛擬實訓環境[7],使用Packet Tracer軟件來模擬路由器、交換機與防火墻,利用VmWare軟件模擬多臺PC機等。
2 應用效果
在一系列教學改革方法的指導下,“計算機網絡安全技術”課程的整體教學設計發生了根本性的變化,由原來的教師講授理論為主,轉變為以學生實踐為主,教師的角色轉變為引導者與輔助者。按照這種設計,應用于吉林大學應用技術學院2014級和2015級兩個學期的“計算機網絡安全技術”課程的教學過程中,取得了不錯的教學效果。普遍反映在以下兩個方面。
2.1 課堂效果
在新的教學設計的指導下,普遍提升了學生的學習興趣、滿足學生課外實踐的意愿,更多的學生愿意將更多的時間投入到計算機網絡安全技術的學習過程中,同時學生也普遍反映,學習了“計算機網絡安全技術”課程后,他們對于使用網絡也更加小心和謹慎了,懂得了學習防范網絡攻擊與網絡詐騙,更加深了對其他網絡技術課程的理解。
2.2 課程及格率
通過實施新的教學設計,學生學習得更加扎實,反映在期末考試上,學生的及格率得到了極大的提升,2014級和2015級學生的“計算機網絡安全技術”課程及格率分別為90%和95%,分別僅有2人和1人不及格,反映出新的教學設計達到了本課程教學改革的要求。
3 結 論
“計算機網絡安全技術”課程在新形式的整體教學設計的指導下,學生的學習熱情和學習效果得到了大幅度的提高。這種教學設計的思路同時也為其他課程的教學設計改革提供了很好的借鑒。
篇10
關鍵詞:計算機;網絡;安全;威脅;防范技術
1 網絡安全的定義
網絡技術是從90年代中期發展起來的新技術,它把互聯網上分散的資源有機整合,實現了資源的全面共享。近年來,伴隨著互聯網技術的迅猛發展,網絡已成為人們生活中不可或缺的一部分。然而人們在享受網絡帶來的種種便利時,也受到了日益嚴重的來自網絡的安全威脅。
網絡安全從本質上講就是網絡上的信息安全,網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。從用戶的角度來說,希望涉及到個人隱私和商業利益的信息在網絡上傳輸時,受到機密性、完整性和真實性的保護。
2 計算機網絡安全面臨的問題
2.1 計算機病毒
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,具有隱蔽性、潛伏性、傳染性和極大的破壞性。計算機病毒通過互聯網傳播,給網絡用戶帶來極大的危害,它可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。隨著網絡技術的不斷發展、網絡空間的廣泛運用,病毒的種類也在急劇增加。
2.2 黑客攻擊手段多樣
黑客的攻擊手段在不斷地更新,幾乎每天都有不同的系統安全問題出現。然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的,攻擊源相對集中,攻擊手段更加靈活。
2.3 操作系統漏洞及網絡設計的問題
目前流行的許多操作系統均存在網絡安全漏洞,黑客利用這些操作系統本身所存在的安全漏洞侵入系統。由于設計的網絡系統不規范、不合理以及缺乏安全性考慮,使其安全性受到影響。網絡安全管理缺少認證,容易被其他人員濫用,人為因素造成網絡安全隱患。另外,局域網內網絡用戶使用盜版軟件,隨處下載軟件與游戲程序,以及網管的疏忽也容易造成網絡系統漏洞。
以上只是網絡安全所面臨的威脅中的一小部分,由此可見,解決網絡安全威脅,保證網絡安全已迫在眉睫,這需要尋求一個綜合性解決方案,以應對日益嚴重的網絡安全危機。
3 計算機網絡安全的防范技術
3.1 防火墻技術
防火墻的作用是對網絡訪問實施訪問控制策略。防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾,只有被授權的通信才允許通過,同時將不允許的通信拒之門外,最大限度地阻止網絡中的黑客來訪,防止他們隨意更改、移動甚至刪除網絡上的重要信息。它是不同網絡或網絡安全域之間信息的惟一出入口,能夠根據安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的基礎設施。
3.2 網絡病毒的防范
病毒活動日益猖獗,對系統的危害日益嚴重。用戶一般采用殺毒軟件來防御病毒入侵,但現在年增千萬個未知新病毒,病毒庫更新速度落后,殺毒軟件已不能輕松應對,因此對病毒的防御顯得尤為重要。在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。這需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,還需要網關的防病毒軟件,加強上網計算機的安全性。
3.3 加強網絡安全管理
加強網絡的安全管理、制定有效的規章制度,對于確保網絡的安全性與可靠運行,將起到十分有效的作用。加強網絡的安全管理包括:確定安全管理等級和安全管理范圍;制定相關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。考察一個內部網是否安全,不僅要看其技術手段,更重要的是看對該網絡采取的綜合措施。
3.4 提高安全防范意識
只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。
4 結束語
網絡安全是一項系統的工程,涉及技術、管理、使用等許多方面,網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。總之,一勞永逸的網絡安全體系是不存在的,計算機網絡安全工作也不是一朝一夕就能夠完成的,它是一項長期的任務。如何保證網絡安全,是一個值得長期研究與付出努力的問題,網絡安全需要我們每一個人的參與。
5 參考文獻
[1] 石志國,計算機網絡安全教程,北京:清華大學出版社,2008.
[2] 周小華,計算機網絡安全技術與解決方案,杭州:浙江大學出版社,2008.
